Notifications de violation de données personnelles : une nouvelle téléprocédure
RSS CNIL - , 23/08/2013
Publié le 24 juin 2013, le règlement européen relatif aux failles de sécurité (dit " data breach ") impose aux autorités de protection des données de mettre à disposition un moyen électronique sécurisé dédié aux notifications de violations de données personnelles. Pour répondre à cette exigence, la CNIL met en place une nouvelle téléprocédure sur son site Internet.
Régulièrement, les médias se font l'écho de comptes clients dérobés lors d'attaques informatiques ou dévoilés sur internet en raison d'une mauvaise configuration du site web. De telles erreurs se multiplient, souvent au détriment des personnes dont les données sont perdues, volées, divulguées, ou détruites.
Dans ce contexte, la révision des directives " Paquet télécom " en 2009 a conduit le législateur européen à imposer aux fournisseurs de services de communications électroniques l'obligation de notifier les violations de données personnelles aux autorités nationales compétentes et, dans certains cas, aux personnes concernées.
Cette obligation a été transposée en droit français à l'article 34 bis de la loi " Informatique et Libertés ". Dès qu'il constate une violation de données personnelles (c'est-à-dire une destruction, une perte, une altération, une divulgation ou un accès non autorisé à des données), le fournisseur de service doit désormais en informer la CNIL sans délai. Il doit également informer les personnes dont les données ont fait l'objet de la violation, sauf s'il a mis en œuvre préalablement des mesures techniques qui rendent les données incompréhensibles à toute personne non autorisée à y avoir accès. Le défaut de notification à la CNIL et aux personnes concernées peut faire l'objet de sanctions pénales (5 ans d'emprisonnement et 300 000 € d'amende).
Actuellement, cette obligation de notification s'impose uniquement aux fournisseurs de services devant être déclarés auprès de l'ARCEP (fournisseurs d'accès à internet, de téléphonie fixe ou mobile, notamment), lorsque la violation intervient dans le cadre de leur activité de fourniture de services de communications électroniques.
Ainsi, l'intrusion dans la base clients d'un fournisseur d'accès à Internet (FAI) est considérée comme une violation de données soumise à notification, mais pas le piratage du fichier des ressources humaines de ce même FAI.
Le 24 juin 2013, la Commission européenne a publié le règlement européen dit " data breach ", qui harmonise les procédures de notification des violations aux autorités de protection des données personnelles et aux personnes concernées. Il définit notamment le contenu, les délais et les modalités de ces notifications.
Plus particulièrement, ce règlement impose aux autorités compétentes de mettre à disposition des fournisseurs de service de communications électroniques un moyen électronique sécurisé de notification. C'est dans ce contexte que la CNIL a mis en place une téléprocédure, accessible depuis son site internet.
Cette procédure permet à la fois aux entreprises concernées de notifier ces failles auprès de la CNIL, aisément et rapidement, et à la Commission de mener à bien la mission qui lui a été confiée par le Législateur. Elle devra en effet accompagner les fournisseurs de services de communications électroniques dans l'appréciation et la mise en œuvre de mesures de protection efficaces.
A compter de la date d'entrée en vigueur du règlement européen, à savoir le 25 août 2013, les fournisseurs de services doivent recourir à cette nouvelle fonctionnalité pour remplir leur obligation de notification.